APT 캠페인 'Konni' & 'Kimsuky' 조직의 공통점 발견
Contents
[스페셜 리포트] APT 캠페인 'Konni' & 'Thallium(Kimsuky)' 조직의 공통점 발견
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.
과거부터 한국과 해외 등을 상대로 은밀히 활동중인 APT(지능형 지속 위협) 공격조직 일명 '코니(Konni)'의 배후를 추적하는 과정에서 '탈륨(Thallium)/김수키(Kimsuky)'와 연관된 몇가지 의심스러운 정황들을 관찰했습니다.
김수키 조직은 특정 정부의 지원을 받고 있으며, 최근까지 코니 조직과는 별다른 연결고리가 공식적으로 보고된 바 없습니다.
그러나 ESRC는 코니 캠페인에 연루된 몇몇 위협 흔적들을 심층 분석하는 과정에서 단순 우연으로 보기 어려운 단서를 포착했고, 이를 통해 코니와 김수키 조직이 특별한 관계일 가능성이 높다는 결론에 도달했습니다.
본 스페셜 리포트는 베일에 싸여 있던 코니 조직의 배후와 실체를 연구한 일련의 내용 중 일부를 담고 있으며, 김수키 조직과의 연관성 내용을 기술하는데 주 목적이 있습니다.
■ 코니(Konni) APT 조직의 위협 배경
먼저 코니 그룹은 약 2014년 전후, 주로 북한관련 내용의 미끼 파일로 스피어 피싱(Spear Phishing) 공격을 구사하였습니다.
그동안 코니는 국내외 보안 리포트를 통해 여러차례 위협 사례가 공개된 바 있고, 그때마다 국내외 전문가들 사이에 공격 주체에 대한 논쟁이 많았습니다. 일각에서는 코니 배후에 한국의 특정 기관이나 기업이 있다는 주장도 …
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.
과거부터 한국과 해외 등을 상대로 은밀히 활동중인 APT(지능형 지속 위협) 공격조직 일명 '코니(Konni)'의 배후를 추적하는 과정에서 '탈륨(Thallium)/김수키(Kimsuky)'와 연관된 몇가지 의심스러운 정황들을 관찰했습니다.
김수키 조직은 특정 정부의 지원을 받고 있으며, 최근까지 코니 조직과는 별다른 연결고리가 공식적으로 보고된 바 없습니다.
그러나 ESRC는 코니 캠페인에 연루된 몇몇 위협 흔적들을 심층 분석하는 과정에서 단순 우연으로 보기 어려운 단서를 포착했고, 이를 통해 코니와 김수키 조직이 특별한 관계일 가능성이 높다는 결론에 도달했습니다.
본 스페셜 리포트는 베일에 싸여 있던 코니 조직의 배후와 실체를 연구한 일련의 내용 중 일부를 담고 있으며, 김수키 조직과의 연관성 내용을 기술하는데 주 목적이 있습니다.
■ 코니(Konni) APT 조직의 위협 배경
먼저 코니 그룹은 약 2014년 전후, 주로 북한관련 내용의 미끼 파일로 스피어 피싱(Spear Phishing) 공격을 구사하였습니다.
그동안 코니는 국내외 보안 리포트를 통해 여러차례 위협 사례가 공개된 바 있고, 그때마다 국내외 전문가들 사이에 공격 주체에 대한 논쟁이 많았습니다. 일각에서는 코니 배후에 한국의 특정 기관이나 기업이 있다는 주장도 …
IoC
0eb6090397c74327cd4d47819f724953
103.249.31.159
124.217.209.11
175.167.130.236
175.167.138.222
175.167.138.225
175.167.146.58
202.168.155.156
2614bd5b8177ef93efaa9b06beda2398
2bfbf8ce47585aa86b1ab90ff109fd57
3dcd31490846e235bc17cbfdac0a9484
49B3C5975C8717DA0606EC060B4271A2
65.254.254.73
87e00dede257d234d2558ed2ae0d7ec2
B5D9D194E1BEA5889096460172673081
B9BA36607EA379DA4B6620C4E3FCE2CA
c616893e73cfa2a5456deb578725f1e7
dfe2f5fc4579f5cb56a76702a61e692a
http://202.168.155.156
http://ago2.co.kr
http://ago2.co.kr/bbs/data/dir
http://ago2.co.kr/data/file/AccountChooser/download
http://carolie-svr-v1.16mb.com
http://fighiting1013.org/2
http://filer1.1apps.com
http://filer1.1apps.com/1.txt
http://filer2.1apps.com
http://gyjmc.com
http://jejuseongahn.org
http://jejuseongahn.org/hboard4/data/cheditor/badu/log.txt
http://kuku675.site11.com/data/zero/log.txt
http://kuku79.herobo.com
http://mailout05.yourhostingaccount.com
http://my-homework.890m.com
http://naiei-aldiel.16mb.com
http://naoei3-tosma.96.lt
http://naoei3-tosma.96.lt/1
http://naoei3-tosma.96.lt/3
http://naver-security-mail.96.lt
http://oeks39402.890m.com
http://ondol.inodea.co.kr
http://rotcian.com/host/img/jpg/download.php?filename=Base64(
http://sariwon.co.kr
http://upgradesrv.890m.com
http://user-protect-center.pe.hu
http://walcustweb0403.yourhostingaccount.com
http://well-known/weebly-verify/config.php
http://www.jejuseongahn.org/hboard4/data/file/AccountChooser/confirm
103.249.31.159
124.217.209.11
175.167.130.236
175.167.138.222
175.167.138.225
175.167.146.58
202.168.155.156
2614bd5b8177ef93efaa9b06beda2398
2bfbf8ce47585aa86b1ab90ff109fd57
3dcd31490846e235bc17cbfdac0a9484
49B3C5975C8717DA0606EC060B4271A2
65.254.254.73
87e00dede257d234d2558ed2ae0d7ec2
B5D9D194E1BEA5889096460172673081
B9BA36607EA379DA4B6620C4E3FCE2CA
c616893e73cfa2a5456deb578725f1e7
dfe2f5fc4579f5cb56a76702a61e692a
http://202.168.155.156
http://ago2.co.kr
http://ago2.co.kr/bbs/data/dir
http://ago2.co.kr/data/file/AccountChooser/download
http://carolie-svr-v1.16mb.com
http://fighiting1013.org/2
http://filer1.1apps.com
http://filer1.1apps.com/1.txt
http://filer2.1apps.com
http://gyjmc.com
http://jejuseongahn.org
http://jejuseongahn.org/hboard4/data/cheditor/badu/log.txt
http://kuku675.site11.com/data/zero/log.txt
http://kuku79.herobo.com
http://mailout05.yourhostingaccount.com
http://my-homework.890m.com
http://naiei-aldiel.16mb.com
http://naoei3-tosma.96.lt
http://naoei3-tosma.96.lt/1
http://naoei3-tosma.96.lt/3
http://naver-security-mail.96.lt
http://oeks39402.890m.com
http://ondol.inodea.co.kr
http://rotcian.com/host/img/jpg/download.php?filename=Base64(
http://sariwon.co.kr
http://upgradesrv.890m.com
http://user-protect-center.pe.hu
http://walcustweb0403.yourhostingaccount.com
http://well-known/weebly-verify/config.php
http://www.jejuseongahn.org/hboard4/data/file/AccountChooser/confirm